CertiK은 블록체인 보안 회사로, 스마트 계약 감사 및 포괄적인 보안 도구 세트 전문성으로 잘 알려져 있습니다. 2018년에 설립된 CertiK는 블록체인 네트워크와 스마트 계약의 안전성과 신뢰성 향상에 중점을 둡니다.
CertiK는 2018년 예일대학교(Yale University)와 컬럼비아대학교(Columbia University) 컴퓨터 과학 교수들에 의해 설립되었습니다.[22] 공동 설립자인 구롱휘(Ronghui Gu) 교수는 2022년 VMware 시스템 연구상을 수상했으며[23] 싱가포르 통화청(Monetary Authority of Singapore)의 국제 기술 자문단(International Technology Advisory Panel)에 속해 있습니다[24].
CertiK는 스마트 계약 감사, 공식 검증, 침투 테스트, 고급 보안 모니터링 도구를 포함한 포괄적인 보안 접근 방식을 장려합니다. 회사는 애플[20], 삼성[21], 그리고 Sui[30]를 포함한 주요 기업의 블록체인 보안 발전에 기여하는 연구 개발에도 적극적으로 참여하고 있습니다.
CertiK는 4,000개 이상의 기업 고객과 협력하여 3,600억 달러 이상의 디지털 자산을 보호하고 블록체인 코드에서 60,000개 이상의 취약성을 발견했습니다. 회사의 고객에는 Aave[27], Polygon[26], BNB Chain[25], Aptos[28], 그리고 WEMIX[29]와 같은 프로젝트가 포함됩니다.
CertiK는 Web3의 보안 및 투명성 표준을 높이기 위해 모든 감사 보고서를 무료로 공개합니다. 식별된 모든 취약성에 대한 완전한 분석과 해결 여부는 프로젝트의 Skynet 페이지에서 확인할 수 있습니다.
CertiK는 프로젝트와 투자자들이 보안 및 실사에 대한 정보에 입각한 종합적인 접근 방식을 취할 수 있도록 설계된 여러 가지 도구를 제공합니다.
CertiK(써티크)의 보안 점수 순위표는 프로젝트의 보안 점수에 따라 프로젝트를 나열하고 순위를 매깁니다. 보안 점수는 코드 보안, 기본적인 건전성, 운영 탄력성, 커뮤니티 신뢰, 시장 안정성 및 거버넌스 강도를 고려하는 독점 알고리즘을 사용하여 생성됩니다.
검증된 팀 순위표는 CertiK KYC 배지의 상태를 기준으로 프로젝트를 나열하고 순위를 매깁니다. 배경 조사를 성공적으로 통과한 프로젝트 팀에는 CertiK KYC 배지(금, 은, 동)가 부여됩니다.
인플루언서 점수 순위표는 Web3 인플루언서들의 영향력 점수를 기준으로 순위를 매겨 목록으로 표시합니다. 영향력 점수는 콘텐츠와 온라인 활동의 영향력과 도달 범위를 반영합니다. 이 순위표는 Web3에서 대화를 주도하는 인플루언서를 찾는 데 유용합니다.
거래소 감사는 사용자가 거래소가 관리하는 지갑 주소의 온체인 자산 보유량을 표시하여 중앙화 거래소(CEX)에 대한 실사를 수행할 수 있도록 합니다. 이는 준비금 증명 확인의 중요한 첫 단계입니다.
Skynet 경고(Skynet Alerts) 시스템은 암호화폐 시장에서 발생하는 출금 사기 및 악용 사례에 대한 신속한 알림을 제공합니다. Skynet 경고는 다양한 정보 출처를 지속적으로 모니터링하여 발생하는 rugs pull 및 악용 사례를 식별하고 보고합니다.
스마트 머니 위저드는 월렛 분석기 기능에 접근할 수 있는 지점이며, 사용자가 월렛 주소를 직접 검색하고, 트렌딩 월렛 검색, 상위 스마트 머니 월렛 및 상위 유동성 쌍을 볼 수 있도록 합니다. 월렛 분석기 기능은 월렛 주소에 대한 통찰력을 제공하며, 주요 월렛 특성을 표시하고, 월렛 관계와 토큰 거래 활동을 시각화하여 월렛 간의 온체인 거래를 쉽게 해독할 수 있도록 합니다.
SkyInsights는 포괄적인 암호화폐 규정 준수 및 위험 관리 플랫폼입니다. 지갑 검토, 실시간 거래 모니터링, 위험 점수 및 사용자 지정 알림을 제공하여 금융 기관, 중소기업 및 암호화폐 기반 플랫폼이 규정 준수의 복잡성을 효과적으로 관리할 수 있도록 지원합니다. SkyInsights는 암호화폐 관련 조직이 효율적인 프로세스를 유지하고 고객 신뢰를 높이는 동시에 규제 환경을 효율적으로 탐색할 수 있도록 지원합니다.
CertiK KYC는 프로젝트 팀을 위한 포괄적이고 개인적인 신원 확인을 제공합니다. CertiK는 각 팀 구성원과 화상 통화를 통해 신원 및 기타 필요한 정보를 확인합니다. 팀의 익명성이 높아짐에 따라 위험 행위가 증가함에 따라 CertiK KYC는 프로젝트에 대한 책임감을 높여 투자자들이 자신감을 가지고 투자를 진행할 수 있도록 지원합니다. 브론즈, 실버 또는 골드 KYC 배지를 획득한 프로젝트는 커뮤니티에 자신들의 프로젝트에 대해 공개적으로 책임질 의향이 있음을 보여줍니다.
침투 테스트는 런타임 환경에서 암호화 애플리케이션을 보호하기 위한 포괄적인 접근 방식의 최종 구성 요소입니다. CertiK의 침투 테스트 서비스는 숙련된 윤리적 해커 팀이 지원하는 독점 도구를 활용하여 취약성을 발견합니다.
CertiK의 버그 바운티 프로그램은 최고의 윤리적인 해커들로부터 정보를 크라우드소싱하여 악의적인 행위자가 악용하기 전에 취약성을 발견합니다. CertiK의 보안 엔지니어는 제출 내용을 검토하고 자격을 평가하며 클라이언트와 협력하여 적절한 수정을 구현합니다. 0% 수수료 모델은 프로젝트의 지급 압력을 줄이고 화이트햇 해커가 전체 보상을 받을 수 있도록 합니다.
SkyTrace는 이더리움(Ethereum)과 BNB 체인(BNB Chain) 지갑 간의 트랜잭션 데이터를 분석하고 시각화하는 데 도움이 되는 추적 도구입니다. 이 도구는 사용자 개인 지갑 또는 프로젝트 팀 지갑으로의 의심스러운 자금 흐름을 식별하고 추적하는 데 유용한 통찰력을 제공합니다.
CertiK 자문은 기술 평가, 독점 연구 및 전략 권고를 제공하는 분석가 팀을 제공합니다.
CertiK의 보안 서비스는 모든 블록체인의 모든 프로젝트에서 이용 가능합니다. 회사가 협력한 생태계 목록은 다음과 같습니다.
공식 검증은 스마트 계약 또는 블록체인 프로토콜의 기능에 대한 수학적 증명을 포함하며, 어떠한 취약성도 발견되지 않고 의도대로 작동함을 보장합니다[31]. CertiK의 공식 검증 접근 방식은 사람의 분석만으로는 감지할 수 없는 더 광범위한 취약성을 발견합니다.
회사의 공식 검증 프로세스는 확장성, 정확성 및 적용 범위를 우선시합니다. ERC-20 및 ERC-721과 같은 인기 있는 스마트 계약의 경우, CertiK는 일반적인 보안 속성의 검증을 자동화하여 감사 단계에서 수백 개의 프로젝트에 성공적으로 적용했습니다. CertiK의 공식 검증은 자동화된 시장 메이커(AMM)의 increase-K 속성과 같이 복잡한 스마트 계약에 대한 고급 사용자 지정 보안 및 정확성 속성을 지정하고 증명하여 정기적인 감사를 향상시킵니다. 또한, CertiK의 공식 검증은 합의 프로토콜을 포함한 다른 블록체인 구성 요소와 HyperEnclave TEE와 같은 기본 시스템 인프라까지 확장됩니다[32].
CertiK의 보안 감사 접근 방식은 수동 코드 검토, 자동 검증 및 사용자 지정 공식 검증의 사용으로 정의됩니다. 수동 코드 검토와 자동 검증은 업계에서 일반적이지만, 사용자 지정 공식 검증은 감사의 효율성을 높입니다. 이 프로세스에서 보안 전문가는 기계로 읽을 수 있는 사양을 생성한 다음 CertiK의 사용자 지정 공식 검증 시스템으로 수학적으로 검증합니다. 이러한 접근 방식은 각 프로젝트의 고유한 기능과 언어에 맞게 조정된 보다 효과적인 보안 평가를 보장합니다.
블록체인 프로토콜의 경우, CertiK는 스마트 계약 및 탈중앙화 애플리케이션(dApps)의 공식 검증을 통해 맞춤형 솔루션을 제공하여 보다 기능적이고 신뢰할 수 있는 블록체인 생태계를 조성하는 것을 목표로 합니다. 회사의 학계, 연구원 및 엔지니어 팀은 각 프로젝트에 대해 고도로 맞춤화된 솔루션을 개발하여 철저하고 효과적인 감사 프로세스를 보장합니다.
CertiK에서 개발한 DeepSEA는 스마트 계약을 위한 공식적으로 검증된 컴파일러입니다. Web3 형식 검증 분야의 고급 솔루션으로, 컴파일러의 잠재적 오류(올바르게 작성된 스마트 계약의 보안 취약성으로 이어질 수 있음)와 형식 검증 보장을 무효화할 수 있는 검증 툴체인의 부정확성이라는 두 가지 중요한 문제를 해결하는 것을 목표로 합니다. DeepSEA의 개발은 검증이 프로그램 자체의 논리에 대한 신뢰도를 높일수록 주변 실행 환경의 정확성을 보장하는 것이 점점 더 중요해짐을 인식한 데에서 비롯되었습니다.
DeepSEA는 고급 언어(Solidity, Rust, Vyper 등)로 작성된 계약 소스 코드를 가져와 블록체인 플랫폼(EVM, WebAssembly 등)용 실행 가능한 바이트 코드로 변환합니다. 이 프로젝트는 특히 컴파일러 측면에 중점을 두고 실행 환경을 개선하는 방법에 대한 연구에서 시작되었습니다. DeepSEA는 Coq의 내장 프로그래밍 언어(Gallina)로 작성되며 검증 효율을 높이기 위해 여러 세분화된 단계로 나뉩니다.
DeepSEA는 EVM 바이트 코드와 Ethereum 기반 WebAssembly(eWASM)의 두 가지 대상을 지원합니다. DeepSEA 표면 언어를 컴파일하고 다른 스마트 계약 프로그래밍 언어의 백엔드 역할을 할 수 있습니다. 컴파일러 정확성 검증에는 입력 및 출력을 위한 프로그래밍 언어와 해당 의미론을 정의하고, 입력 및 출력 언어의 프로그램 상태 간의 'match_states' 관계를 고안하고 정의하며, 컴파일된 프로그램 상태가 원래 프로그램의 상태와 일치함을 증명하는 작업이 포함됩니다.
DeepSEA는 컴파일과 형식 검증을 통합합니다. 이 통합을 통해 고급 수준에서 프로그램을 검증하면서 검증된 보안 속성이 컴파일된 바이트 코드와 일치하도록 합니다. 기술이 발전함에 따라 CertiK는 DeepSEA에 대한 비전으로 공식적으로 검증된 컴파일러 백엔드를 갖춘 통합된 코어 언어에서 컴파일러와 검증 도구를 모두 작동하도록 하는 것입니다.
CertiK는 Binance[34], OKX[35], KuCoin[36], Huobi[33]와 같은 주요 디지털 자산 거래소와 전략적 파트너십을 구축했습니다.
2023년, Sui는 CertiK에게 전체 블록체인에 위험을 초래하는 "HamsterWheel"이라는 중요한 취약성을 발견한 공로로 50만 달러의 현상금을 수여했습니다.
CertiK는 The Open Network(TON)의 초당 트랜잭션 기록을 검증하여 고처리량 블록체인 프로젝트 처리 능력을 입증했습니다[37].
회사는 Ant Group의 Trust Native Technology 팀의 프로젝트인 HyperEnclave의 공식 검증을 성공적으로 수행했으며, XRP Ledger에 구축된 자동 시장 조성자 (AMM)인 XLS-30d[38]를 감사했습니다.
CertiK는 클라우드 컴퓨팅 분야의 블록체인 보안 강화를 목표로 Alibaba Cloud[39]와 전략적 파트너십을 체결했습니다. 또한, 회사는 철저한 보안 검토[40] 후 Finschia와 협력하여 거버넌스 멤버이자 노드 검증자 역할을 수행했습니다.
인도주의적 노력으로 CertiK는 Coala Pay와 협력하여 블록체인 기술과 사회적 책임을 결합하여 자금 조달을 간소화했습니다[41].
CertiK는 OKX[43] 및 ZenGo[42]와 같은 주요 거래소 및 지갑 제공업체에 전문 지식을 제공하여 보안 취약성 해결을 지원했습니다. Skyfall 팀의 모바일 보안 연구는 삼성으로부터 여러 CVE를 통해 인정받아 CertiK의 광범위한 사이버 보안 분야에서의 영향력을 보여줍니다.
CertiK(써티크)는 또한 Web3 분야에 대한 심층적이면서도 접근하기 쉬운 교육 콘텐츠를 제공하기 위해 노력하고 있습니다. 블로그와 다양한 간행물을 통해 CertiK(써티크)는 업계 전문가와 열정적인 사람 모두에게 블록체인 기술과 사이버 보안의 복잡성과 변화하는 역학에 대한 이해를 높이고자 합니다.
CertiK(써티크)는 또한 포괄적인 통계와 자세한 사례 연구를 제공하는 연례 및 분기별 Hack3d 보고서를 발표합니다. 이러한 보고서는 블록체인 보안의 현재 상태를 이해하고 블록체인 공간 내의 추세, 취약성 및 사건을 강조하는 데 중요한 역할을 합니다. CertiK(써티크)의 Hack3d 보고서는 개발자, 투자자 및 정책 입안자에게 실행 가능한 정보와 블록체인 보안 분야의 과제와 기회에 대한 심층적인 통찰력을 제공하는 중요한 자료 역할을 합니다.